Kategori Security

OpenSSH Fingerprinte im DNS

Sonntag, November 27th, 2011

Jetzt habe ich endlich mal eine einfache Anleitung gefunden um OpenSSH Fingerprinte im DNS zu hinterlegen (RFC4255).

Denn ssh-keygen kann diereckt den für BIND nötigen SSHFP record erstellen.

root@ns01:~# ssh-keygen -r ns01.caix.de -f /etc/ssh/ssh_host_rsa_key.pub
ns01.caix.de IN SSHFP 1 1 e208441777cba0459c52e8680b617b254183f711
root@ns01:~# ssh-keygen -r ns01.caix.de -f /etc/ssh/ssh_host_dsa_key.pub
ns01.caix.de IN SSHFP 2 1 0476a2a57fb720fbee586b78e28490929501d8c6

Nach dem veröffentlichen im DNS kann mal den Record mit dig abrufe.
dig -t SSHFP ns01.caix.de

;; ANSWER SECTION:
ns01.caix.de. 7200 IN SSHFP 1 1 E208441777CBA0459C52E8680B617B254183F711
ns01.caix.de. 7200 IN SSHFP 2 1 0476A2A57FB720FBEE586B78E28490929501D8C6

Testen kann mal das ganze dann mit der Option VerifyHostKeyDNS und -v für den Debug mode. Die zwei entscheiden Zielen habe ich unten aufgeführt.

ssh root@ns01.caix.de -o VerifyHostKeyDNS=yes -v
...
debug1: found 2 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS
...

Quelle: bd.hauke-lampe.de

Veröffentlicht am: 27.11.2011 | publiziert in: Netzwerk, Security

SSH agent eines andren Users

Donnerstag, September 1st, 2011

Heute bedien wir uns an einem SSH AGENT eines andren Users.

So sieht die ausgabe bei einem User aus.
user@pc:~$ env | grep SSH
SSH_AGENT_PID=1719
SSH_AUTH_SOCK=/tmp/keyring-AyZCBd/ssh

Stellen wir uns vor, wir haben uns per SSH zugang zum dem Rechner des Users gemacht, und wissen das er gerade ein gnome-panel hat. Es kann natürlich auch eine andere pid des Users benützt werden.

root@pc:~# cat /proc/$(pidof gnome-panel)/environ | xargs -0n1 echo | grep SSH
SSH_AGENT_PID=1719
SSH_AUTH_SOCK=/tmp/keyring-AyZCBd/ssh

root@pc:~# SSH_AUTH_SOCK=/tmp/keyring-AyZCBd/ssh ssh user@chr.istoph.de

Nun kann eine Verbindung mit dem agent des Users aufgebaut werden.

Veröffentlicht am: 01.09.2011 | publiziert in: Linux, Security

DNS Antworten zu groß

Freitag, Mai 6th, 2011

Heute hatte ich ein sehr seltsames Problem mit DNS. Da ich auf google docs nicht mehr zugreifen konnte und Chromium mir folgende Antwort lieferte: Fehler 105 Die DNS Adresse des Servers kann nicht aufgelöst werden.

Ein dig auf die Domain ergab das die anfrage zurückgewiesen worden ist und eine TCP anfrage gestellt wurde. Dies lies mich darauf schlissen das Bind nicht auf den TCP Port lissent, bzw. eine FW dazwischen war.
dig @192.168.0.1 docs.google.com
;; Truncated, retrying in TCP mode.

; <<>> DiG 9.7.0-P1 <<>> @192.168.0.1 docs.google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Nach dem ich die Firewall auch für TCP geöffnet habe kamm auch die folgende Große Antwort zurück. Das erklärte auch warum dies vorher noch nicht aufgetreten ist.

; <<>> DiG 9.7.0-P1 <<>> @192.168.0.1 docs.google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37063
;; flags: qr rd ra; QUERY: 1, ANSWER: 16, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;docs.google.com. IN A

;; ANSWER SECTION:
docs.google.com. 84462 IN A 74.125.230.103
docs.google.com. 84462 IN A 74.125.230.104
docs.google.com. 84462 IN A 74.125.230.105
docs.google.com. 84462 IN A 74.125.230.106
docs.google.com. 84462 IN A 74.125.230.107
docs.google.com. 84462 IN A 74.125.230.108
docs.google.com. 84462 IN A 74.125.230.109
docs.google.com. 84462 IN A 74.125.230.110
docs.google.com. 84462 IN A 74.125.230.111
docs.google.com. 84462 IN A 74.125.230.96
docs.google.com. 84462 IN A 74.125.230.97
docs.google.com. 84462 IN A 74.125.230.98
docs.google.com. 84462 IN A 74.125.230.99
docs.google.com. 84462 IN A 74.125.230.100
docs.google.com. 84462 IN A 74.125.230.101
docs.google.com. 84462 IN A 74.125.230.102

;; AUTHORITY SECTION:
. 26616 IN NS a.root-servers.net.
. 26616 IN NS b.root-servers.net.
. 26616 IN NS c.root-servers.net.
. 26616 IN NS d.root-servers.net.
. 26616 IN NS e.root-servers.net.
. 26616 IN NS f.root-servers.net.
. 26616 IN NS g.root-servers.net.
. 26616 IN NS h.root-servers.net.
. 26616 IN NS i.root-servers.net.
. 26616 IN NS j.root-servers.net.
. 26616 IN NS k.root-servers.net.
. 26616 IN NS l.root-servers.net.
. 26616 IN NS m.root-servers.net.

;; Query time: 0 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Fri May 6 11:17:03 2011
;; MSG SIZE rcvd: 500

Veröffentlicht am: 06.05.2011 | publiziert in: Netzwerk, Security

ssh -A root@server

Donnerstag, März 3rd, 2011

Wie verbindet man sich mit seinem privaten ssh key über einen zwischen Server.

Wenn man sich vom Laptop mit ssh auf Server B mit seinem Privaten Key verbinden will, muss man die Option -A angeben. Diese für die Authentifizierung über den Server A durch.

Hier noch mal ein Beispiel:
user@laptop:~$ ssh -A root@serverA
root@serverA:~# ssh root@serverB
root@serverB:~#

Veröffentlicht am: 03.03.2011 | publiziert in: Linux, Security

Neulich: Passwort in der Suchleiste eingegeben

Mittwoch, Januar 5th, 2011

Als ich vergangene Woche gesehen habe wie Jemand ein Passwort einfach in der Google Suchleiste eingeben hat, weil er zufaul war ein Nodpad zu öffnen, habe ich fast die Krise bekommen.

Ich habe das dann einfach mal mit geschnitten. Wenn man z.b. 123456 in der Suchleiste angibt wird folgendes Ergebnis an Google gesendet.

Großes Bild

Veröffentlicht am: 05.01.2011 | publiziert in: Security

ssh-keygen -R hostname

Dienstag, August 18th, 2009

Wenn man einen Server neu aufsetzt oder einfach nur den DNS Namen ändert gibt das meinst Stress mit SSH geben, weil der Schlüssel sich geändert hat die DNS Prüfung fehl schlägt. Das sieht dann folgendermaßen aus:

user@desktop:~$ ssh user@server
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for server has changed,
and the key for the corresponding IP address 10.0.0.1
has a different value. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/user/.ssh/known_hosts:42

Bevor man jetzt aber hingeht und in vi die Zeile raus sucht oder gar die ganz Datei löscht, sollte man folgenden Befehl nutzen. Dieser updatet automatisch alle Einträge.

user@desktop:~$ ssh-keygen -R server
/home/user/.ssh/known_hosts updated.
Original contents retained as /home/user/.ssh/known_hosts.old

Veröffentlicht am: 18.08.2009 | publiziert in: Linux, Security

E-Mails mit gnupgp verschlüsseln

Mittwoch, Dezember 10th, 2008

Also bislang habe ich ja immer einen Krampf bekommen wenn es um PGP ging. Langsam habe ich aber den dreh raus wie es geht.

1. gnupg installiren: sudo apt-get install gnupg
2. Thunderbird Plugin installiren: https://addons.mozilla.org/de/thunderbird/addon/71
3. Schlüssel erzeugen:
OpenPGP -> Schlüssel verwalten ... -> Erzeugen -> Neues Schlüsselpar ...
bildschirmfoto-openpgp-schlussel-erzeugen
- Gib dann ein Passwort für den Passphrase ein und wiederhole ihn.
- Schlüsselpaar erzeugen Klicken.
- Dann sollte man einen Widerrufsschlüssel erzeugen.

4. OpenPGP -> Schlüssel verwalten ... -> Rechte Maustaste auf den eigenen Schlüssel -> Öffentlichen Schlüssel Per E-Mail Senden

Nun kann derjenige der deinen Öffentlichen Schlüssel hat, dir eine Verschlüsselte Nachricht zukommen lassen die du entschlüsseln kannst.

Die gegen Seite muss dafür auch das Thunderbird Plugin installiert haben und den Schlüssel importieren.

1. Rechte Maustaste auf den Öffentlichen Schlüssel -> OpenPGP Schlüssel Importiren
Dann kann man beim Senden von E-Mails den Hacken Verschlüsseln anklicken und die Mail wird vor dem Senden verschlüsselt.

Quelle: thunderbird-mail.de

Veröffentlicht am: 10.12.2008 | Tags: | publiziert in: Security

Keine Blacklist für 4096bit Keys

Samstag, Oktober 18th, 2008

Ich weiß ja das 4096bit große Keys übertrieben sind. Aber das ist doch kein Grund dafür keine Blacklist anzulegen. So bekam ich immer die folgende Fehlermeludung wenn ich die OpenVPN verbindung starten wollte:

user@server:~# /etc/init.d/openvpn start
* Starting virtual private network daemon.
WARN: could not open database for 4096 bits. Skipped
* client (OK) [ OK ]

Da ich mir ja sicher bin das mein Key richtig ist habe ich einfach eine lehre Blacklist angelegt.
touch /usr/share/openssl-blacklist/blacklist.RSA-4096

user@server:~# /etc/init.d/openvpn stop
* Stopping virtual private network daemon. [ OK ]
user@server:~# /etc/init.d/openvpn start
* Starting virtual private network daemon.
* client (OK)

Quelle: forum.ubuntuusers.de

Veröffentlicht am: 18.10.2008 | publiziert in: Netzwerk, Security, Ubuntu

Na fällt euch was auf?

Samstag, August 2nd, 2008

Genau der Mediaplayer läuft gar nicht unter Ubuntu. Toll auf alles bedenkenlos drauf klicken zu können.

2

Veröffentlicht am: 02.08.2008 | publiziert in: Security

Badges können unter Umständen eine Sicherheitskritische Lücke darstellen

Sonntag, März 23rd, 2008

Da ich vor ein paar tagen einen neuen Badgt eingebunden habe, der für Statistiken zuständig ist, ist mir aufgefallen das dieser Falsch zählt. Nämlich immer wenn ich mich im Loginbereich befinde. Dann ist mir der Gedanke gekommen, dass die Betreiber vor solchen Badges auch die Möglichkeit haben Passwörter und ähnliches Post oder GET Informationen mit zu loggen. Ich habe nun erst mal für den Login Bereich die Badges entfernt.

if ( $logged_in == false ) {
...
}

Leider macht es keinen sin, diese funkten im simplephpblog.com zu posten, da diese Einstellungen Themes abhängig ist. Dennoch sollten alle WebBadgt Nutzer hellhörig sein und schauen was sie Posten.

Veröffentlicht am: 23.03.2008 | publiziert in: Security